04.07.2011, 08:20
Microsoft poinformował o wykryciu nowej wersji rootkita Popureb(Win32/Popureb.E)...w przeciwieństwie do innych wersji tej infekcji, najnowszy wariant okazuje się mieć inny charakter. Rootkit nadpisuje MBR dzięki temu staje się praktycznie nieusuwalny przez żadne narzędzia z poziomu systemu...nie usuwa go nawet formatowanie dysku, ponieważ ładowane są przez BIOS do pamięci przed załadowaniem systemu plików . Po załadowaniu tak zainfekowanego systemu, trojan jest niewidoczny przez system, a programy anty-malware pomimo wykrycia go i przeprowadzonego leczenia nie są go w stanie w rzeczywistości usunąć, gdyż Popureb nie zezwala na zapisywanie danych na dysku , tym samym zmiany dokonane przez program AV podczas czyszczenia z infekcji nie są skuteczne.
Jedyną jak do tej pory skuteczną metodą jest naprawienie sektora rozruchowego MBR po czym próba przywrócenia systemu z poziomu konsoli odzyskiwania.
Win32/Popureb.E wykrywany jest przez większość programów, a listę nazw pod jakimi jest wykrywany możemy znaleźć np. na VirusTotal (dane pochodzą z 28 czerwca, sądzić więc można że wszystkie skanery już wykrywają tę infekcję)
Jest dyskusja na Wildersach na ten temat
"The latest release of Hitman Pro 3.5.9 – build 126 – will remove the infamous Trojan “Popureb” without the need to reinstall the operating systemas previously advised by Microsoft.(...)
Build 126 of Hitman Pro 3.5 contains a new Tool Action: Replace with standard MBR.This new action offers users a means to overwrite a non-standard MBR with a standard MBR returning it to a clean state. This new Tool Action is only available to users when scanning a system with Hitman Pro in Early Warning Scoring (EWS) mode. Users do not need to use the Windows Recovery Console to return the MBR to a clean state."
Jedyną jak do tej pory skuteczną metodą jest naprawienie sektora rozruchowego MBR po czym próba przywrócenia systemu z poziomu konsoli odzyskiwania.
Win32/Popureb.E wykrywany jest przez większość programów, a listę nazw pod jakimi jest wykrywany możemy znaleźć np. na VirusTotal (dane pochodzą z 28 czerwca, sądzić więc można że wszystkie skanery już wykrywają tę infekcję)
[Aby zobaczyć linki, zarejestruj się tutaj]
Źródło informacji[Aby zobaczyć linki, zarejestruj się tutaj]
Inne szczegółowe artykuły na ten temat[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
-------------------------Jest dyskusja na Wildersach na ten temat
[Aby zobaczyć linki, zarejestruj się tutaj]
...i tu uaktualnienie - okazuje się, że infekcja jednak nie wymaga reinstalacji systemu[Aby zobaczyć linki, zarejestruj się tutaj]
a najnowsze wersja Hitman Pro pozwala na usunięcie rootkita z poziomu systemu"The latest release of Hitman Pro 3.5.9 – build 126 – will remove the infamous Trojan “Popureb” without the need to reinstall the operating systemas previously advised by Microsoft.(...)
Build 126 of Hitman Pro 3.5 contains a new Tool Action: Replace with standard MBR.This new action offers users a means to overwrite a non-standard MBR with a standard MBR returning it to a clean state. This new Tool Action is only available to users when scanning a system with Hitman Pro in Early Warning Scoring (EWS) mode. Users do not need to use the Windows Recovery Console to return the MBR to a clean state."
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"